zde se nacházíte:
Úvod > Články > BEZPEČNOSTNÍ TESTOVÁNÍ

Články

29.01.2018

BEZPEČNOSTNÍ TESTOVÁNÍ

Bezpečnostní testování je dnes nedílnou součástí jak zajistit vlastní či jinou infrastrukturu proti chtěným nebo nechtěným průnikům a ztrátě cenných informací. Dá se však říci, že ucelený či unifikovaný návod neexistuje. Jednak vždy závisí na typu použitých technologií a také na tom, jaké jsou nároky vzhledem k rizikům, které je možné akceptovat a k nákladům, které je účelné vynaložit. Za tímto účelem existuje dnes již několik doporučených norem, podle kterých by testování mělo probíhat. Než postupovat striktně podle vybrané normy je však dnes výhodné specifikovat dané prostředí a podle požadavků vytvořit postup na míru tomuto prostředí. Od toho se také odvíjí množství poskytnutých
informací.

Obecně by se dalo říci, že podle prostředí a množství poskytnuté informace existují tři základní principy:
1. Testování bez poskytnutých informací (Black Box).
2. Testování s částečnými informacemi (Gray Box).
3. Testování s plně definovanými požadavky a informacemi (Transparent Box).


Od toho se také odvíjí náročnost jednotlivých etap testování, do kterých patří:
1. Sběr dat a příprava na testování, tvorba strategie (Nejsložitější fáze).
2. Testování.
3. Vyhodnocení a reporty.
4. Náprava.
5. Ověření, opakované testování.


Tyto kroky lze doplňovat a tvoří uzavřený cyklus, který lze pravidelně opakovat k dosažení vysoké míry zabezpečení. V rámci tvorby strategie jsou dnes dostupné normy, lépe řečeno standardy, jako jsou PCI-DSS, NIST 800-115, NSA-IAM, PCI, PTES, CREST a jiné. Jako návod pro tvorbu strategie je vhodné také přihlédnout na zákony dané země, v případě České republiky se jeví například vhodné využití zákona č. 181/2014, č. 125/2005 Sb. a příslušných vyhlášek. Je potřebné nejprve stanovit stupeň utajení za účelem zjištění, co je potřebné identifikovat jako hrozbu a co je potřebné kontrolovat. Z toho také potom vyplývají různé podmínky, například zda systémy mohou být připojeny do internetu, či nikoli. Vlastní penetrační testy svou podobou představují technický audit.

Z pohledu firem je v obecné rovině možné definovat typ informací a požadavků k zabezpečení úniku informací s původem u:
1. Zaměstnanců (úmyslné – patří sem i jednání „v dobré víře“, chyby konfigurace, neúmyslné).
2. Selhání technologie, infrastruktury.
3. Útočníka (cílené – špionáž, necílené útoky).


Na úrovni auditu/penetračního testu je nutné prověřit vše v rámci výše uvedeného a obecný souhrn nabízených služeb je sestaven následovně:
1. Služby testování penetrace sítě - externí nebo interní
2. Služby pro testování penetrace bezdrátových sítí
3. Penetrační testy webových aplikací
4. Penetrační testy mobilních aplikací
5. Penetrační testy fyzických zařízení
6. Sociální inženýrství


Rozpis prověření plnění základních předpokladů dle obecného souhrnu:
1. Prověření segmentace systémů tak, aby při narušení bezpečnosti jedné části nedošlo k narušení bezpečnosti v části jiné.
2. Prověření konfigurace přístupových oprávnění.
3. Prověření ochrany kryprografických prostředků pro vzdálenou správu a přístup.
4. Prověření nastavení ověřování identifikace uživatelů a podmínek pro bezpečnost hesel a jejich cyklu.
5. Prověření nástrojů pro identifikaci a sběru informací o vnitřní síti.
6. Způsob uchování informací.
7. Prověření provozních vlastností kybernetických nástrojů pro identifikaci událostí (SIEM, Syslog a jiné).
8. Bezpečnostní testy aplikací a jejich trvalé ochraně (Qualis, WAF).
9. Bezpečnostní testy transakcí aplikací.
10. Audit správy klíčů pro kryptografickou ochranu.
11. Prověření certifikace operačních systémů dle CC EAL 4 a výše.
12. Prověření zálohování.
13. Prověření použití zařízení a systémů s neaktualizovaným firmware, operačním systémem.
14. Prověření úrovně ochrany proti sociálnímu inženýrství.
15. Prověření úrovně použití mobilních zařízení, backdoor a instalace aplikací.
16. Prověření úrovně zabezpečení intranetových a internetových portálů.


Dodatek: Výše uvedený výpis není konečný, přesná specifikace testů je vždy závislá od potřeby konkrétního řešení a služby. Je potřebná znalost prostředí a úrovně vyžadovaného zabezpečení po předchozí dohodě obou stran a vytvoření specifického scénáře.